Анализ подходов и средств исследования защищенности межсетевых экранов

Размещено на http://www.allbest.ru/

Анализ подходов и средств исследования защищенности межсетевых экранов

Канд. техн. наук, ст. науч. сотрудник Хрыков С.В.,

Юдичев Р.М., Воробьев С.А.

г. Орел

Annotation

Problems of information security in computer networks are important now. One of approaches to maintenance of information security in network is the technology of various assignments networks shielding. For elimination of the problems connected to safety have been developed many the various decisions, the most known and distributed from which is application of gateway screens or firewalls. However there is a necessity to check security of firewalls. This article describes methods and tools for analysis of firewalls security. Also the optimum decision for carrying out of research of security of the firewall is offered.

Основная часть

Важность проблемы информационной безопасности компьютерных сетей существенно возрастает с увеличением их числа и сложности, а также масштабов внедрения перспективных информационных технологий. Сейчас злоумышленники обладают целым арсеналом изощренных атак на распределенные информационные системы, стремясь получить доступ к конфиденциальной информации, нарушить ее целостность и доступность [1].

Развитие сети Internet обострило, и в очередной раз, выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это с тем, что сеть Internet разрабатывалась как открытая система.

Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось недостаточно внимания. Для устранения проблем, связанных с безопасностью, были разработаны различные решения, самым известным и распространенным из которых является применение межсетевых экранов [2].

Экранирование достигается путем установки специальных программно-аппаратных устройств - межсетевых экранов (Firewall). Он позволяет экранировать (делать недоступными) часть ресурсов внутренней сети для внешних сетей, подключенных к данной. Данные устройства устанавливают в местах подключения сети к другим сетям. Этот подход к обеспечению безопасности является достаточно гибким, эффективным и надежным, относительно недорогим и простым с точки зрения использования.

Для того чтобы удостовериться в эффективности предлагаемого к использованию средства защиты, необходимо провести его тестирование. Тестирование проводится с целью проверки эффективности используемых в нем механизмов защиты и их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите.

Существует два подхода к анализу защищенности МЭ:

– Активное исследование

– Пассивное исследование

Активное исследование МЭ заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. При этом против объекта испытаний реализуются все известные типы атак, и проверяется устойчивость системы защиты в отношении этих атак. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Пассивное исследование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Оно предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. Тестирование может производиться вручную, либо с использованием специализированных программных средств. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня[3].

Следует отметить, что кроме этих вариантов, существует также метод тестирования МЭ путем анализа исходного текста и/или принципиальных электрических схем. Данный метод позволяет проверить степень соответствия МЭ требованиям с любой заданной точностью, вплоть до абсолютной. Но этот метод требует очень много людских и временных ресурсов, практически не поддается автоматизации и, вследствие чего, является очень дорогостоящим. На практике он обычно применяется только для доказательства отсутствия "закладок" или "люков" в системе, то есть недокументированных возможностей МЭ, снижающих неявным образом его эффективность и надежность.

Арсенал программных средств, используемых для анализа защищенности достаточно широк. Причем, во многих случаях, свободно распространяемые программные продукты ничем не уступают их коммерческим аналогам. межсетевой экран информационный сеть

Одним из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем является использование технологии интеллектуальных программных агентов. Система защиты строится на архитектуре консоль/менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи по контролю защищенности АС. Управление агентами осуществляет по сети программой менеджером. Менеджеры являются центральными компонентом подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов, в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т. п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент - серверному протоколу. Такой подход был использован при построении комплексной системы управления безопасностью организации Symantec ESM.

Другим широко используемым методом анализа защищенности является активное тестирование механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в АС. Для этих целей применяются сетевые сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база данных, содержащая описание известных уязвимостей ОС, МЭ, маршрутизаторов и сетевых сервисов, а также алгоритмов осуществления попыток вторжения (сценариев атак). Примерами программных средств анализа защищенности данного класса могут являться сетевые сканнеры XSpider, ISS и другие.

Таким образом, программные средства анализа защищенности условно можно разделить на два класса. Первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня. Второй класс, иногда называют средствами анализа защищенности системного уровня. Данные классы средств имеют свои достоинства и недостатки и на практике взаимно дополняют друг друга.

Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому, в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего агента (своего для каждой ОС).

К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае, трудно отличить сеанс сканирования от действительных попыток осуществления атак. Сетевыми сканерами также с успехом пользуются злоумышленники.

Системы анализа защищенности, построенные на интеллектуальных программных агентах, являются потенциально более мощным средством, чем сетевые сканеры. Однако, несмотря на все свои достоинства, использование программных агентов не может заменить сетевого сканирования, поэтому эти средства лучше применять совместно. Кроме того, сканеры являются более простым, доступным, дешевым и, во многих случаях, более эффективным средством анализа защищенности [3].

Основным фактором, определяющим защищенность МЭ от угроз безопасности, является отсутствие в них уязвимостей защиты. Уязвимости защиты могут быть обусловлены как ошибками в конфигурации компонентов средств защиты, так и другими причинами, в число которых входят ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их неправильное использование, либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим фактором. Наличие уязвимостей в системе защиты МЭ, в конечном счете, приводит к успешному осуществлению атак, использующих эти уязвимости.

Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки). Сканер является необходимым инструментом в арсенале любого администратора, либо аудитора безопасности.

Сетевые сканеры предоставляют очень широкие возможности по поиску уязвимостей корпоративных сетей и исследованию структуры сетевых сервисов. Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (war dialers) использовавшиеся с начала 80-х и не потерявшие актуальности по сей день. Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты. Сегодня они превратились в программные продукты, реализующие множество различных сценариев сканирования.

Современный сетевой сканер выполняет четыре основные задачи:

– идентификация доступных сетевых ресурсов;

– идентификация доступных сетевых сервисов;

– идентификация имеющихся уязвимостей сетевых сервисов;

– выдача рекомендаций по устранению уязвимостей.

В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы.

Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т. п. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.

В настоящее время, существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных - предназначенных для выявления только определенного класса уязвимостей. Многие из них можно найти в сети Интернет. Число уязвимостей в базах данных современных сканеров свыше 1000.

Исходя из выше изложенного, для анализа защищенности МЭ оптимальным будет являться применение активных методов тестирования механизмов защиты, используя в качестве основных инструментов сканеры сетевой безопасности.

Литература

1. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей / Под ред. Котенко И.В.. СПб.: ВУС, 2000.

2. Лукацкий А.В., Выявление уязвимостей компьютерных сетей, статья. http://isaca.ru

3. Астахов А., Анализ защищенности корпоративных автоматизированных систем, статья - http://isaca.ru

Размещено на Allbest.ru